![](/img/trans.png)
[英]AWS Datasync S3 -> S3 cross account, confused about destination role/account
[英]AWS S3 cross account policy
我想為限制為 VPC-ID(使用 S3 端點)的 S3 存儲桶設置策略。 我有兩個賬戶,A 和 B。我想讓 A 中的 IAM 用戶訪問 B 中的存儲桶。
https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html
{ "Version": "2012-10-17", "Id": "Policy1415115909153", "Statement": [ { "Sid": "Access-to-specific-VPC-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::awsexamplebucket1", "arn:aws:s3:::awsexamplebucket1/*"], "Condition": { "StringNotEquals": { "aws:SourceVpc": "vpc-111bbb22" } } } ] }
以上將不起作用,但以下將:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::bucket",
"arn:aws:s3:::bucket/*"
],
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111111111111"
}
}
}
]
}
感覺最好的做法是使用拒絕策略。 任何人都知道為什么以及如何解決它?
正如所指出的,您也需要允許。 將這兩種政策結合起來,它就會起作用。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.